آیا احراز هویت‌ نهادهای مختلف برای همدیگر قابل پذیرش است؟

صادق فرامرزی، مدیرعامل هلدینگ صاد؛

پس از نامه‌ای که توسط اداره مبارزه با پولشویی بانک مرکزی مبنی بر ممنوعیت احراز هویت غیر حضوری جهت خدمات پایه به بانک‌ها ابلاغ شد در میز گردی مطالبی گفتم که به برخی از آنها در این یادداشت اشاره می‌کنم.

کرونا علیرغم همه مصائبی که بر دنیا وارد کرد در درون خود دارای فرصتی بود که جوامع مختلف به نسبت ظرفیت خود از آن بهره‌مند شدند. به گمان من شاید یکی از کشورهایی که کمترین استفاده را از این فرصت کرد ایران بود. این اعتقاد نافی تمام زحمات و تغییرات مشخص اتفاق افتاده در این دو سال نیست، منتها همین که پس از دو سال از شروع این بیماری و تقریباً در دومین سالگرد آن در مورد دروازه ورود به تحول دیجیتال یعنی احراز هویت دیجیتال چنین حکمی می‌آید موید اعتقاد بنده است. حتما می­دانید که ماجرا همان تبصره (۳) ماده (۹۱) آیین­نامه اجرایی ماده۱۴ الحاقی قانون مبارزه با پولشویی است که با پیگیری‌های فراوان در تاریخ ۲۹/۱۱/۱۳۹۹ به این شکل تغییر کرد:

«هیأت وزیران در جلسه ۱۳۹۹/۱۱/۲۹ به پیشنهاد وزارت امور اقتصادی و دارایی و به استناد اصل یکصد و سی و هشتم قانون اساسی جمهوری اسلامی ایران تصویب کرد: در تبصره (۳) ماده (۹۱) آیین­‌نامه اجرایی ماده (۱۴) الحاقی قانون مبارزه با پولشویی موضوع تصویب‌­نامه شماره ۹۲۹۸۶/ت۵۷۱۰۱هـ مورخ ۱۳۹۸/۷/۲۲، عبارت “ممنوع است.” به عبارت “با رعایت دستورالعملی که به تصویب شورا می­رسد، خواهد بود.” اصلاح می­‌شود. »

این یعنی بدون ارائه دستورالعمل تمام این مصوبه یعنی هیچ و متاسفانه دستورالعملی هم ابلاغ نشد.

هر چند نگارنده معتقد است می‌توان این نوع احراز هویت را غیرحضوری ندانست چرا که با ابزارهای بیومتریک و تصاویر لایو، این نوع احراز هویت حضوریست و فقط شامل سطوح مختلف می‌شود و این در دنیا پذیرفته شده است. ما قوانین را از اسناد بالادستی بین‌المللی ترجمه می‌کنیم اما در هنگام تطبیق پذیری­‌های بعدی سخت عمل می‌کنیم.

همواره از سجام به­ عنوان یک مثال خوب از استفاده درست و به موقع از تکنولوژی جهت احراز هویت یاد می‌کنند که کاملا درست هم هست و در زمان خود بسیار هوشمندانه عمل شد. به اعتقاد من در ماجرای سجام مجموعه سمات صاحب یکی از تمیزترین و کاملترین دیتابیس‌های اطلاعات کاربران شد، حتی شاید تنها مجموعه با این سطح دقت و حجم اطلاعات. در همان زمان این نگرانی را به بانک‌ها و مخصوصاً بانک مرکزی اعلام کردم که چه نظارتی بر شرکت‌هایی که ناگهان اعلام حضور کردند و با بانک‌های مختلف جهت احراز هویت غیر حضوری قرارداد بستند وجود دارد؟ روند اجرای عملیات غیر حضوری را چه کسی تایید می‌کند؟ نگهداری اطلاعات چگونه کنترل می‌شوند؟ آیا حواسمان بود که این شرکت‌های واسطه امکان دسترسی و لاگ چه سطح از اطلاعات محرمانه‌ای دارند؟

البته لازم به ذکر است خوشبختانه خیلی از بانک‌ها این حساسیت را داشتند و کارهای امنیتی لازم را انجام می­‌دادند.

همه اینها را بگذارید در کنار اینکه تکیه این عملیات بر این بود که افراد قبلاً در بانک حساب داشته‌اند پس یکبار احراز هویت شده‌اند اما در سیستم بانکی این ابزار قابل اتکا نیز لزوما وجود ندارد.

حتما ملاحظه کرده‌اید که اگر در شعبه A بانکی احراز هویت حضوری شده باشید در مراجعه با شعبه B همان بانک در زمانی دیگر برای افتتاح حساب مجدداً و بطور کامل احراز هویت می‌شوید همه مدارک را مجدداً می‌دهید و همه فرآیند را مجدد انجام می‌دهید. این یعنی شعبه B مسئولیت احراز هویت انجام شده در شعبه A را حتی در یک بانک نمی‌­پذیرد. دقت کنید داریم در مورد احراز هویت حضوری صحبت می‌کنیم. حالا بماند که حتی در همان بانک A هم در صورت در خواست وام یا افتتاح حساب جدید یا… مجدد بطور کامل احراز هویت می‌شوید.

در چنین حالتی مگر می‌شود در مورد به اشتراک­‌گذاری احراز هویت غیر حضوری حرف زد. اشکال کار جایی است که مبانی احراز هویت از استاندارد یکسانی برخوردار نیستند و هیچ نهادی جهت تایید این پلتفرم‌ها انتخاب نشده است.

در چنین حالتی دو راه به ذهنمان می­رسد:

• حاکمیت مطابق علاقه قدیمی خود اقدام به تاسیس سامانه احراز هویت ملی کند. به‌­طور مثال به شرکت خدمات انفورماتیک ماموریت بدهد سامانه‌ای جهت این فرآیند تهیه کند و همه بانک‌ها از طریق یک سامانه واحد اقدام به احراز هویت کنند. مطلع هستیم که اتفاقاً این اقدام در مراحلی از اجرا وجود دارد.
• حاکمیت اقدام به ابلاغ یکسری چهارچوب‌ها و الزامات در این حوزه کند که حتماً رفرنس‌هایی در این حوزه در دنیا وجود دارند (مانند EIDAS ) و در کنار آن نهاد یا نهادهایی را جهت آدیت، ارزیابی و ارائه گواهی به این شرکت‌ها و البته محصولات معرفی کند. به ذهن من شرکت‌های کاشف و افتا می‌رسند که جداگانه یا توامان این قابلیت را دارند.

بدیهی است علیرغم اینکه شاید بخش بزرگی از فعالان حوزه با راه حل اول مخالف باشند اما واقعیت این است که این مدل اتفاقاً کار می‌کند و برای شرایط همیشه حساس کنونی کارساز است. اشکالات مهمی هم بر آن وارد است مانند دوری از انعطاف و نوآوری که اساساً در همه سامانه‌های حاکمیتی مرکزی این ایراد وارد است و باید دید رگولاتور در ترازو به کدام نتیجه می‌رسد.

راه حل دوم نیز عاقلانه به نظر می‌رسد و حتی به گمان من به شدت الزامی است به شکلی که اعتقاد دارم حتی فردا برای تصمیم‌­گیری در این حوزه دیر است.

شاید ترکیب توامان دو راه حل بهترین راه حل باشد یعنی ضمن تاسیس یک سامانه حاکمیتی ( در صورت اصرار رگولاتور ) استانداردهای این حوزه نیز دقیق تدوین و ابلاغ شود و اجازه فعالیت بخش‌های خصوصی و فین تک ها نیز در این حوزه داده شود. حوزه هوش مصنوعی پرچمدار فناوری در سال‌های پیش رو خواهد بود.

لطفاً فراموش نکنید که ما داریم در مورد به اشتراک‌­گذاری احراز هویت صحبت می‌کنیم. در چنین حالتی رگولاتور برای خطاهایی که در این حوزه وجود دارند نیز باید روال بنویسد تا بانک‌ها بدون نگرانی بتوانند مسئولیت پذیرفتن احراز هویت انجام شده توسط دیگری را بپذیرند.

رگولاتور باید قوانین به طور خاصGDPR  را در استانداردسازی به اشتراک گذاری و ذخیره داده‌های کاربران شامل اخذ تایید و اجازه کاربران جهت به اشتراک­‌گذاری داده‌های وی و امکان لغو مجوزهایی که قبلا صادر کرده است را بررسی و در مستندات خود مد نظر قرار دهد.

دقت کنید در دنیای نوآوری باز مفهوم مالکیت داده توسط بانک‌ها به حاکمیت داده تغییر شکل یافته لذا دیگر بانک‌ها مالک داده مشتریان خود نیستند بلکه فقط حاکم آن هستند و مسئولیت حفظ امنیت و محرمانگی آن را به عهده دارند.

البته حتماً راه حل سومی نیز وجود دارد که بگذاریم همینطور شرایط بدون رگولاتوری بگذرد و امیدوار باشیم اتفاقی نیفتد و بانک‌ها و سازمان‌هایی که اعتقاد به راه انداز جا بنداز دارند و خیلی نگران عدم تطبیق نیستند بازار را بگیرند، البته به شدت معتقدم این از حوزه‌هایی است که در صورت اتخاذ این تصمیم و یا تاخیر در تصمیم درست حتماً مجبور به تدوین یک طرح ” صیانت” در این حوزه نیز خواهیم شد.

تلاش می‌کنم در مورد مسائل جاری در مورد امضاء الکترونیک نیز بعداً مطالبی بنویسم اما بخش اول تشکیل دهنده هویت دیجیتال چیزی نیست بجز احراز هویت دیجیتال که اجزای کاملا تست شده و تمرین شده در دنیا دارند و نیاز و عادت قدیمی ما به اختراع مجدد چرخ را مرتفع می‌کند.

در پایان اشاره می‌کنم که مستند احراز هویت دیجتال توسط گروهی در بانک مرکزی آماده شد و در تابستان سال گذشته (۱۳۹۹) تقدیم بانک مرکزی گردید.